Video: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (Oktober 2024)
Vår omslagsfortelling i april, "Stay Anonymous Online", drev mye salg og mer enn litt kontrovers. I en verden hvor vi konstant blir sporet av forhandlere, Internett-leverandører, merkevarer, venner, NSA, og ja, til og med utgivere, viser det seg at medlemmene i den amerikanske offentligheten er desperate etter å beskytte de siste dyrebare detaljene i deres private liv. Våre råd var solide og nyttige. Og så fikk Heartbleed det hele.
Som du sikkert vet nå, er det det største hullet som noen gang er funnet i den grunnleggende infrastrukturen på Internett. Den lille låsen i øvre høyre hjørne av nettleseren din som vi tekniske gutter fortsetter å fortelle deg om å se etter, den som betyr at du har opprettet en sikker forbindelse? Det viser seg at det har vært ødelagt siden 2011.
For å være tydelig, er Heartbleed ikke et "virus", slik en ledeløs vert for National Public Radio nylig beskrev det. Det er en sårbarhet i OpenSSL, som er en åpen kildekrypteringsprotokoll som etablerer en sikker forbindelse mellom en klient og en server. Ved å feilrepresentere dataene som reiser mellom de to systemene, kan informasjon hentes fra minnet til det ene eller begge.
Heartbleed var forårsaket av en enkel kodingsfeil gjort av en tysk programmerer på nyttårsaften 2011. Ingen fanget den. Snarere, hvis noen fanget det, sa de ikke noe, noe som kan være enda skumlere.
Du tror kanskje ikke at du bruker OpenSLL, men det gjør du. Den brukes av to tredjedeler av alle nettsteder. Banker, søkemotorer, online forhandlere og til og med tilkoblede hvitevarer bruker protokollen. OpenSSL-støtte er innebygd i mye nettverksmaskinvare, og den kan til og med brukes av VPN-klienten selskapet ditt er avhengig av for å sikre sine interne systemer.
Den utsatte informasjonen kan være alt som ligger i systemminnet ditt, så det vil ta litt sikting å finne verdifulle ting. Å gi mening av det ville ikke være trivielt, men det er mulig. Passord, personnummer, e-post, dokumenter - alle kan være sårbare. Hvis noen ønsket å avskjære informasjon om en "sikker" forbindelse, kunne de gjøre det.
Verre er det at det ikke er mye du kan gjøre for å beskytte deg selv. Alle de berørte nettstedene og tjenestene lanserer en ny oppdatert versjon av OpenSSL, men inntil de gjør det er det ingen reell grunn til å endre passordene dine. Viktigere er det at hvis noen har en samling av eksisterende nettverkstrafikk fra Heartbleed-tiden, er det ingenting som hindrer dem i å bruke Heartbleed-sårbarheten til å dekryptere det datasettet. Skaden kan ikke gjøres gjeldende.
Det virker som det skulle være mer med historien, men det er det virkelig ikke. Et massivt hull i Internett lot trafikken bli eksponert i flere år. Ingen vet om den ble utnyttet. Næringen fikser det. Det er ingenting du kan gjøre.
Nei, dette er ikke akkurat den typen teknologisk empowerment vi er fans av her på PC Magazine, men vi må kanskje venne oss til denne historien. Det kan skje igjen.
På et mye lettere notat tester og vurderer vi to utmerkede smarttelefoner i dette nummeret. HTC One (M8) tjener høye karakterer for sin byggekvalitet og raffinement. Galaxy S5 viderefører Samsungs tradisjon for å laste sine flaggskipstelefoner med alle tenkelige funksjoner. De er begge enestående telefoner; som du foretrekker er like mye et spørsmål om personlig smak, men gjennomgangen vår kan hjelpe deg med å ta valget.
Den gode nyheten er at begge telefonene kjører den nyeste versjonen av Android, versjon 4.4. Nevnte jeg at mer enn 90 millioner Android 4.1-enheter fremdeles er sårbare for Heartbleed og sannsynligvis aldri vil få oppdateringer?
Kan være på tide med en oppgradering.
VIS ALLE BILDER I GALLERI
